1、SOCaaS 在OT环境下的实践Security Operation Center as a Service In OT丰存旭Breeze中控技术|工业信息安全运营技术总监SUPCON|Information Security Operation Technical Director of ICSCONTENTS目 录01.OT环境下信息安全需求尽管传统的 IT 系统信息安全已经步入市场成熟阶段，并具备不错的成熟度和大量成功案例。但对于工业企业来说，比仅有 IT 系统的传统信息安全更加复杂。02.工业SOC建设的挑战工业企业的信息安全建设存在四大挑战:资金、人力投入不足、工业领域暴露出的信息基

2、础设施陈旧、工控协议不统一、日志范式困难。03.SOCaaS的实践中控技术凭借深耕OT行业30年的深厚经验，在OT场景下提出基于SOCaaS的SSOC解决方案，切实OT环境下的一些列问题2022 WEST L AKECYBERSECURITYCONFERENCE01OT环境下信息安全需求尽管传统的 IT 系统信息安全已经步入市场成熟阶段，并具备不错的成熟度和大量成功案例。但对于工业企业来说，比仅有 IT 系统的传统信息安全更加复杂。合规驱动安全地位强化2011关于加强工业控制系统信息安全管理的通知（工信部）2016国务院关于深化制造业与互联网融合发展的指导意见、工业控制系统信息安全防护指南工信

3、部）2017网络安全法实施2018网络安全等级保护条例（征求意见稿）工业互联网发展行动 计 划（2018-2020 年）（工信部）2019信息安全技术网络安全等级保护基本要求关键信息基础设施安全保护条例数据安全法中华人民共和国个人信息保护法工业互联网发 展 行 动 计 划（2021-2023 年）（工信部）2021合规驱动国内工业信息安全标准体系工业信息安全标准体系基础共性术语定义安全架构与模型安全防护类设备和控制安全边缘计算安全平台安全数据安全标识解析安全网络和通讯安全应用安全安全管理安全服务类检查评估态势感知及预警应急处置安全运维检测认证设备安全工业控制系统安全平台安全方案平台运营安全虚拟

4、化安全虚拟化安全数据安全防护重要数据识别标识解码安全解析与交互处理安全工厂网络安全网络接入安全通信网络安全运营者安全产品全生命周期安全供应链安全合规驱动工业互联网安全标准 EAA 分类分级定级指南 EAB 应用工业互联网工业企业安全 EAC 工业互联网平台企业安全 EAD 工业互联网标识解析企业安全 EAE 工业互联网企业数据安全 EAF 工业互联网关键要素安全 EBA 安全监测 EBB 安全应急响应 EBC 安全运维 EBD 安全评估 EBE 安全能力评估 ECA 工业企业安全上云 ECB 安全公共服务 ECC 5G+工业互联网安全 ECD 密码应用 ECE 安全技术及产品应用工业互联网安全

5、标准EA.分类分级安全防护EB.安全管理EB.安全应用服务合规驱动国际标准IEC 62443ICS评估安全标准ICS程序安全标准ICS系统安全标准ICS组件安全标准标准名称制定者内容概要特点分析IEC 62443系列工业过程测量、控制和自动化 网络与系统信息安全IEC/TC65/WG10与ISA99联合工作组定义一个通用的、最小要求集以达到各级SLAS安全保障需求。可指导工控系统集成商，产品提供商和服务提供商对他们的产品和服务进行安全性评估目 前 仅 出台9份事件驱动安全重心差异安全优先级通信协议性能要求软件升级方案实施风险管理要求机密性完整性可用性可用性完整性机密性信息系统安全工业信息安全1

6、秒以上响应；高吞吐率标准协议软件供应商直接提供补丁根据典型IT系统来设计数据的保密性和完整性为核心高实时性（1ms 响应）；低吞吐率工业私有协议必须由系统供应商验证后升级必须预测试人员安全、过程保护为核心安全管控不严协议本身脆弱业务互联互通移动设备管控弱系统老旧漏洞多补丁常年不更新企业网络37%远程访问27%外来合作者11%互联网连接10%移动设备7%HMI界面8%恶意代码渗入主要途径工业控制系统漏洞及联网暴露形势严峻事件驱动暴露面大事件驱动OT信息安全事件频发05101520251月 2月 3月 4月 5月 6月 7月 8月 9月 10月11月12月2021年应急响应次数事件类型勒索病毒蠕虫

7、木马配置错误网站暗链其他发展驱动数字化转型促进OT安全提速从非数字化到数字化从封闭到开放从信息孤岛到互联互通02工业SOC建设的挑战工业企业的信息安全建设存在四大挑战:资金、人力投入不足、工业领域暴露出的信息基础设施陈旧、工控协议众多、日志范式化困难。挑战1资金、人力投入不足65%26%9%20%以下20%-30%30%-50%OT领域信息安全投入占整体信息安全投入比例分布47%23%18%12%1%-3%3%-5%5%-10%10%以上信息安全投入占信息化总投入比例分布挑战2资金、人力投入不足无专职人员5人以下5-20人20-50人50人以上超10%企业没有专职信息安全人员无专职人员5人以下

8、5-20人20-50人50人以上超70%企业没有专职OT领域的信息安全人员无常驻外包服务人员5人以下5-20人20-50人50人以上超35%企业没有常驻外包安全服务人员挑战2基础设施陈旧超10年工业领域的生产运营系统生命周期通常较长，在役的多数生产运营系统使用的是10 多年前甚至是更久的产品或技术，并且在安装时很少会考虑信息安全风险及防护，这样的基础条件给信息安全防护建设带来很大挑战。挑战3协议不统一工业协议与以太网协议的主要区别工控协议种类繁多传统传统OT厂商虽然比较多，但相对集中；但是个别行业控制厂家非常多，比如风机厂家近20家，有的厂商还有10多种主控型号。对工控专有协议的解析能力是工控

9、安全的关键和基础工控协议特点工控协议各类繁多大多协议不是基于通用的以太网络，具有完全不同的分层如：CANOPEN、DEVICENET、PROFIBUS或仅使用以太网物理层、链路层及以上采用自有专用协议如：EtherCAT、PROFINET类 型 众 多：上 百 种 工 控 协 议Profibus、CANopen、DeviceNet、ModbusTCP、Modbus、S7、Ethernet/IP、Profinet、107 104 IEC61850等Layer7 Profibus空空空空Profibus-FDLRS485比如Profibus分层示意图互联网使用标准以太网协议，但工控协议多数是专用协

10、议挑战4日志处理困难防火墙IDS交换机网络设备网络设备事件检索统计报表资产管理安全监控关联分析03SOCaaS的建设中控技术凭借深耕OT行业30年的深厚经验，在OT场景下提出基于SaaS的安全运营解决方案，切实OT环境下的安全运行保障问题。SOCaaS建设为什么是中控？工业SaaS 百余家线下5S店线上商城需求派单知识培训联储联备专业遴选快速交付服务全程可视化建立专业人才池5S店+S2B平台线 上 线 下 相 结 合SOCaaS建设安全服务体系事前安全运维定期巡检资产管理预警通报事中应急响应事件分析电子取证备份恢复*事后优化加固安全培训安全测试安全保险*SOCaaS建设战略安全产品线安全专家团

11、队安全项目群安全情报安全创新安全应急平台安全咨询中心安全运营平台安全创新平台SSOC!安全能力输出安全运维能力安全应急能力安全情报能力安全运营能力安全咨询能力安全测评能力安全培训能力安全测试能力安全创新能力1套安全资源池1套智能枢纽平台9大安全能力1+1+9SOCaaS建设服务模式网络安全专家团队SSOC5S店管家客户PLANTMATE申购SaaS服务服务展示 消息推送分析数据 接口同步离线巡检日志上传运营管理OT系统SaaS模式SOCaaS建设3大应用场景量子随机数发生器量子随机数第三方CAISKBOX量子增强安全服务平台密钥调度和控制量子密钥充注终端离线量子密钥分发服务SSOCPAD智能设

12、备控制网络管理中心态势感知服务信息安全管理服务器信息安全管理PC签名验签服务器证书签发验签服务对接通用服务工厂A量子CPE控制网络验签1.零信任安全网关实现控制流数据动态身份认证、网络安全评估、访问控制、流量分析等等2.零信任安全网关对接收的加密数据流，进行解密，并把明文转发给信息安全管理服务器3.零信任安全网关连接量子增强安全服务平台实现密钥更新ISKBOX离线充注离线签发互联网数据离线拷贝1.PAD集成零信任客户端，与零信任安全网关建立TLS数据流加密链路，拷贝ISKBOX中数据后，直接将数据上传至平台2.PAD部署密码模块连接量子量子增强安全服务平台实现P A D 的 量 子 密 钥 更

13、 新工厂!生产管理网络ISKBOX4G/5G1.ISKBOX中，通过量子CPE设备直接将数据实时上传至平台2.量子CPE设备与零信任安全网关建立TLS数据加密链路，实现数据加密传输和设备认证3.量子CPE连接量子量子增强安全服务平台实现量子CPE的量子密钥更新零信任安全网关ISKBOX控制网络工厂 生产管理网络ISKBOXISKBOX1.ISKBOX集成零信任客户端，与量子安全网关建立TLS数据加密链路（，直接将数据实时上传至平台2.ISKBOX集成量子密钥管理代理，连接量子增强安全服务平台实现量子密钥更新数据实时上传数据实时上传终端密码模块零信任访问控制系统数据流控制流SOCaaS建设实践安

14、全创新防火墙汇聚设备核心设备机房MECUPF 出口路由器SSOC接入设备专线连接浙江中控互联网业务FlexE1：4G/5G流量FlexE2：专线网络互联网4G/5G或专线公众流量量子密码零信任机制出口路由器ISKBOX /CPEPAD/CPE计算机/CPE存储零信任安全客户端USBKEY或SIMKEY（CA证书+量子密钥资源）数据流控制流认证过程1、向发起敲门认证，认证通过后分别向发送授权策略，策略分别包含的信息2、接收并执行策略，向发起敲门认证，认证通过后对开放指定端口，建立数据连接，将数据转发到代理的私有云上业务服务器流量分析访问控制策略引擎身份管理动态感知安全分析智能决策零信任应用安全网关零信任访问控制系统量子增强安全服务平台专线连接数据流控制流第三方CA03.SOCaaS建设实践营收2600000GP90%2022 WEST LAKECYBERSECURITYCONFERENCE谢 谢THANK U